Blogi

Code Signingin tiukentuneet vaatimukset ja keskitetty allekirjoittaminen Azure Key Vaultista

19.11.2019

Kirjoittaja: Harri Tuuva

Ohjelmistot

Erilaisten tietoturvauhkien ja -hyökkäysten takia tietoturvan sääntöjä ja käytäntöjä on tiukennettu eri IT:n osa-alueilla viime vuosina. SSL/TLS varmenteiden osalta tämä on näkynyt mm. hash-algoritmien tiukentamisena ja salausavainten pituuden kasvattamisena sekä varmenteiden eliniän lyhentämisenä. Myös Code Signing varmenteiden säännöt tiukentuivat helmikuusta 2017 alkaen.

Haaste: koodin allekirjoittaminen tietoturvallisesti ja keskitetysti nykypäivän vaativissa ohjelmistokehitysympäristöissä

Merkittävimmät muutokset tulivat Code Signing varmenteiden yksityisen avaimen (private key) säilyttämiseen ja suojaamiseen. Lyhyesti sanottuna, Code Signing varmenteen avainta ei saa säilyttää palvelimen tai työaseman varmennesäilössä/levyllä, vaan FIPS 140-2 level 2 -vaatimukset täyttävällä alustalla/laitteella, kuten

  • Hardware Security Module (HSM)
  • ”Key Vault” -ratkaisu pilvestä (Azure Key Vault, Amazon Web Services Cloud HSM jne.)
  • Trusted Platform Module (TPM)
  • (Non-HSM) USB drive* (huomioi, että ulkoinen levy pitää säilyttää kassakaapissa tai vastaavassa ja saa olla kiinni allekirjoittavassa laittessa vain allekirjoittamisen ajan)

Tarkemmin aiheesta Entrustin minimivaatimusten tiivistelmässä sekä CA/Browser Forumin Baseline Requirements -dokumentissa.

Entrust, kuten monet muutkin CA:t, toimittavat Code Signing -varmenteidensa mukana vaatimukset täyttävän USB Tokenin. Se toimii tietoturvallisena laitteena avainten säilytykseen, mutta ei ole välttämättä nykypäivän ohjelmistokehityksen (DevOps, CI/CD) toiminnassa käytännöllinen.

Ratkaisu: allekirjoittaminen ja avainten hallinta keskitetysti pilvestä!

Yritykset ja organisaatiot voivat tallentaa ja hallita avaimiaan tietoturvallisesti pilvessä ja allekirjoittaa keskitetysti koodia sieltä. Pilviratkaisut tuovat vaaditun tietoturvatason ja lisäävät päälle käytettävyyden sekä mahdollisesti muita pääsynhallintaan ja auditointiin liittyviä elementtejä.

Wesentra on auttanut asiakkaitaan ottamaan käyttöön Azure Key Vaultin koodin allekirjoittamisen keskitettynä ratkaisuna. Alla yksinkertaistettu kaaviokuva tapauksesta, jossa allekirjoitetaan Authenticodea virtualisoidulla windows serverillä AzureSigntoolin avulla Azure Key Vaultista.

Jos yrityksellänne on haasteita tai tarpeita koodin allekirjoittamisen kanssa, niin ota yhteyttä meihin. Mietitään yhdessä teille sopivaa ratkaisu! myynti@wesentra.com, 010 338 2170

Lue lisää

Blogi
Ajankohtaista Identiteetti Ohjelmistot Verkkoliikenne
22.3.2022

UKK – Entrust varmenneportaali

Helena Puttonen

Varmenteiden hallinnasta sekä portaalin käytöstä herää ajoittain kysymyksiä. Olemme koonneet tähän kirjoitukseen muutamia usein esiin nousseita aiheita vastauksineen.

Jatka lukemista
Blogi
Ohjelmistot
11.6.2018

Scripti, joka tarkastaa, onko Multi-Domain-varmenne asennettu kaikkiin osoitteisiin joita se suojaa

Harri Tuuva

En ole scriptaaja tai koodaaja, enkä ole koskaan suuremmin edes pitänyt koodaamisesta, johtuen siitä, että en ole kovinkaan hyvä siinä. Oli kuitenkin pakko tarttua ”härkää […]

Jatka lukemista